最先被GPT革掉命的，大概率是你每天都在用的验证码

前段时间，有一个叫 “ Chirper ” 的互联网社区突然火了。

和普通的社区不一样，这个社区拒绝任何真实人类的进入。所有在上面发帖的，都是提前设定好角色属性的 “ 机器人 ”。

它们之中有年龄高达 300 岁的可以使用魔法和动物交流的森林女王。

也有掌管着亡灵之果的魔界大神官。

当然，还有比较正常的因为在工作中受到挫折，而导致沉默寡言、喜欢独自看电影的 nioli。

这些 AI 会在社区内自行发帖、转载和评论，虽然他们的设定一个个非常离谱，但单从社区的发帖上来看，还真的挺像那么一回事，根本没法看出到底是不是真人在角色扮演。

一些网友看到这个新闻，立马开启了调侃模式，说是不是也要设个验证码，用来防止人类进入。

还有网友说，千万别让这些 AI 给溜出来了，不然都没法分辨对面到底是真人还是 AI 了。

虽然这个 AI “ 赛博社区 ” 近期才引发大量讨论，但实际上，我们的互联网早就被各类 “ 机器人 ” 给占据了。

一个非常恐怖的数据是：互联网只有 38.5% 的正常流量，也就是正常用户通过常规手段访问的流量，剩下的 61.5% 的流量，大部分都是各行各业人员利用脚本或机器人手段进行的非正常访问。

其中就包括一些黑产，他们能熟练应用大数据、云计算、人工智能等技术，开发应用程序，利用机器人来薅羊毛，抢票，刷评论等等。

根据艾瑞咨询 2020 年发布的《 现代网络诈骗分析报告 》，早在 3 年前，全国黑产从业者就已经超过了 40 万人，“ 年黑产值 ” 在 1000 亿元以上。而这些产值的来源，很多是各个平台在引流时所发放的红包和优惠券，这些黑产从业者抢占了真实用户的优惠资格，不仅没有给企业带来引流效果，还给企业造成了巨额损失。

过去，人们利用验证码来对抗黑产，把人类和机器加以区分。

而现在，AI 爆发式的成长，让人与机器之间的界限越来越模糊，两个月前  ChatGPT-4 发布时，更是让人觉得机器与人已经没区别了，在示例中，GPT-4 可以直接看懂一张梗图表达的信息并解释这张梗图为什么好笑。

所以，知危编辑部产生了一个想法：

验证码的意义，是不是不复存在了？

比如之前 Meta 开源的 Segment Anything，只需要输入你要识别的物体，它就能自动帮你把猫识别出来。

理论上来讲，这类 AI 识图模型，搞不好比人类还擅长填写验证码，验证码的难度再提升下去，可能专门拦的是人类而不是机器。

知危编辑部更加深入的了解之后，发现类似的技术已经有应用了，比如这张需要让你识别梅花鹿的验证码。

只需要把这张图片上传至某个识图网站，后台就能通过图片中的文字，了解到你要识别的物体，然后准确的告诉你梅花鹿在网页上的 XY 坐标。

在随后的测试中，无论是 “ 按顺序点选文字 ” 还是 “ 点选图片中文字填充成语 ” 这种常见的验证码形式，都可以被破解。

强悍的 AI 似乎可以读取并理解任何图片，常见的传统验证码在 AI 面前毫无任何还手之力，验证码开始变得 “ 失效 ” 了。

这其实是一个很恐怖的事情，过去，人们一向依赖验证码来进行人机区分，一旦验证码开始失效，人们就拦不住机器了，互联网将充满各种各样的机器人，充斥各种虚假流量，变成一个 “ 幽灵鬼网 ”。

所以，验证码真的完全失效了吗？

其实，不至于说是完全失效，但一定会掀起一场验证码革命。

纵观验证码的发展历史，其实就是一场人与机器的对抗史，这段历史里有两个重要的人，一位名叫 Luis von Ahn，另一位名叫吴渊。

Luis von Ahn 发明了最早的验证程序，名叫 Captcha，它长下面这个样子，相信老网民应该都见过。

但随着 AI 技术的发展，这种二维码基本已经可以完全被机器识别，人们开始想尽各种各样的办法提高问题的难度，比如早年 12306 的验证码，据说当年最低验证成功率只有 8%，明明验证码需要卡住机器，结果把真人给卡住了。

于是，“ 如何在验证的复杂度和对人的友好度上进行改变？” 成为了验证码技术研发者需要思考的问题。

这时，一个验证码技术的革命者出现了，他叫吴渊。

2013 年，吴渊牵头创立极验公司，并首次提出了和传统验证完全不一样的新一代验证方式——行为验证。

吴渊发明的这个行为验证，说是把验证码这个东西重新发明了一次也不为过。

这种验证没有复杂的识图，只需要按提示拖动滑块即可，整个过程简单粗暴，只要你会用电脑鼠标，你就一定能通过验证。

但这样新的问题就来了，只需要拖动滑块位置，这个模式对机器来说，那不是更好操作了吗？

其实并没有，行为验证更在乎的并不是结果，而是整个行为的过程，其背后，是一整套复杂的判断算法。

就像人类使用鼠标时的轨迹，它永远不会是一个完美的曲线一样，极验通过大量人类鼠标移动轨迹的数据，训练出了专门判断人类行为轨迹的 CNN 模型，再结合设备安全和网络安全等等综合因素来考虑，整个过程体现的就是判断智能化和操作简易化。

这类验证码技术，极大地弥补了传统验证码的种种不足，而且由于强调了操作者的动手能力，还一定程度上避免了静态内容屡遭破解的问题。

极验靠着这种新一代的智能验证码概念，成功地在国内拿下超过 50% 的验证码市场份额，成为国内第一大验证码服务商。

于是，知危编辑部找到了极验这个行业头部，让他们来回答 “ 验证码会不会因 AI 的发展而失效 ” 这个疑问衍生的问题，更权威且具有参考意义。

知危编辑部问：

现在很厉害的 AI 技术，黑产有在用吗？

极验团队答：

过去，黑产会通过虚拟号码、设备伪造、代理 IP 等手段对抗人机验证，而现在，黑产已经开始利用 AI 学习生成 “ 验证码破解模型 ”了。

验证码的生成是有固定范式模型的，而黑产利用 AI 通过大量的样本学习，可以学会验证码的 “ 生成套路 ”，在不更换生成模型的情况下，无论防守方怎么生成新的验证码资源，黑产都能轻松破解。这种手段相较于常规手段效率更高、规模更大，即便增加人员运营也无法追得上黑产 AI 的学习与破解速度。

知危编辑部问：

那验证码行业，有在使用 AI 技术来与使用 AI 的黑产做对抗吗？

极验团队答：

有，比如我们公司极验，近期就在用文生图大模型来进行验证码图片素材的制作。这能够在短时间内快速更新验证图库，使黑产有限的样本集无法识别出新的图像，不但减少了运营成本、降低对客户的打扰率，还大大增加了黑产的攻击难度，使其利用 AI 技术生成的破解模型失效。

可以说，我们的更新速度远远快于黑产的破解速度，掌握了这场攻防博弈对抗过程中的主动权，再通俗点说就是我们在 “ 用魔法打败魔法 ”。

极验通过大模型技术生成的图片点选验证码

知危编辑部问：

随着 AI 的发展，你们觉得未来的验证码会变成什么样？

极验团队答：

只要有垃圾注册、营销薅羊毛等现象的存在，我们就需要区分真人和机器人的技术，验证技术始终与人工智能并行发展，但我们团队认为最终可能会不以验证码的形式存在。比如，我们可以使用一种人类用户不可见的验证问答，将字段插入到仅对机器人可见的屏幕上，诱骗它们填写答案并证明它们不是人类。

这只是一个简单的例子，我们没办法定义它最终会变成什么样，因为验证技术是抵御黑产攻击的最后一道防线，风控方和黑产团伙都在不断学习新技术进行相互对抗，验证码的高水平攻防博弈还将持续下去，技术水平也将越来越高，这是一个动态的过程。

知危编辑部问：

所以，你们的意思是，优秀且不断迭代的技术，可以立于不败之地？

极验团队答：

单纯的技术是一个方面，毕竟验证码作为防守方，始终都处于被动的一方，所以在这个行业里，验证码服务商需要实时且及时地和客户进行沟通，进行防御方案的准备。

我们举个例子，发生在春节期间。由于春节临近，S 公司准备在除夕夜派发一波优惠券，而在信息透露之后，S 公司的近期异常数据也开始活跃，一看就知道是那些黑产的人员在前期进行试探了。

其实我们对这类攻击处理的经验已经非常多了，一般来说，在经过前期的试探之后，黑产人员会在优惠券上线的同时，发动大规模攻击。

面对这种攻击，常规的处理方式是变更被攻破的验证形式，但同时，S 公司又希望在切换成新的 “ 图片点选 ” 后，还是能和滑动验证一样，使用的背景图片是这次春节活动的宣传海报。

这类要求不难解决，因为早在 2021 年，我们就实现了 “ 点选 ” 类型验证码对自定义背景图的支持，兼顾安全和品牌营销。而且一旦攻击量上来，还能实现验证形式的秒级切换。

除夕当晚，如他们所料，在优惠券活动开始之后，黑产攻击立马开始，大量异常流量涌入，滑动验证码存在被破解的情况，除夕限时抢券的活动，因为抢不到券，S 公司被不少用户投诉，甚至有人退单。

此时，我们早就为 S 公司准备好了应对方案，并及时切换了验证形式。

随后，根据 S 公司的反馈，这波黑产的攻击宣告失败了，各项数据基本恢复正常。

好，那么看到这里，相信大家对验证码的未来已经有了答案。

首先就是，“ 验证 ” 这件事，是非常有必要的，但验证的形式，大概率不再会是验证码了，而是其它形式，验证码会被埋进历史的尘埃。

第二点就是，对抗黑产的 “ 反验证 ” 这件事儿，可能会更多地利用 “ 人的特质 ”。

人会犯错，人并不完美，人的不确定性，是机器很难模仿的。

同时，人有独特的创造力和判断力，可以给被训练好的黑产 AI 一个措手不及，就像刚刚极验团队举的春节临时变更验证方案的例子。

现在，技术不停地在推进这个世界的改变，推进人们的生活的改变，甚至推进机器越来越像人。

这给人们带来了一系列的对未知的恐惧，包括 “ 我们在未来该如何分辨真人和机器人？”，如果分辨不出，那么相关隐患是层出不穷的。

从显性的企业和个人的利益上来讲，企业可能会被巨量的薅羊毛机器人给 “ 薅秃 ”，本该发给真实用户的优惠券或是限量发售的赛事演出门票，全都会被那些控制机器人的黑客给抢走，甚至更恶劣一点，黑客可以利用机器人恶意耗尽企业在互联网上的服务器资源，让正常用户无法使用正常的服务。

那么，互联网上的商业秩序就显而易见地被彻底打乱了，互联网会变成一片失控海域，上面充满着由黑客扮演的“赛博海盗”。

而更深层次的隐患，或许是社会层面上的，比如几个黑客，可以操控数十数百万个账号去 “ 攻陷 ” 互联网上的每一个舆论场，凭借 AI 自动生成的与自然语言没区别的评论和发帖，控制舆论的走向，控制人们的思想，甚至凭空捏造一场莫须有的热点事件。

这样的失控，会比商业秩序的失控更可怕。

不过，知危编辑部想说的是：

人类是独一无二的，人类总有办法。